SimoneAV终结者
的有关信息介绍如下:
编辑本段AV终结者 “AV终结者”即”帕虫”是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。 AV终结者最彻底解决方案 病毒名称:AV终结者 传播方式:内存,windows漏洞 破坏方式:进程插入 生成病毒文件名:随机8位字符 自我保护:应用程序绑架 病毒目的:从网络上下载大量木马 危害等级:★★★★★ 近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清楚。 “AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注入服务器来实现的。 一、什么是“AV终结者” “AV终结者”病毒运行后会在系统中生成如下几个文件:C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm “AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清楚方法。 “AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法,不少用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。 针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。 “映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。 为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你百费劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。 此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。 二、彻底清楚“AV终结者” 1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新建任务”,输入“regedit”,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“1”。 2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,将以杀毒软件和安全工具命名的项删除。 3、在“资源管理器”中单击“工具”——“文件夹选项”,切换到“查看”,取消“隐藏受保护的操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。 三、预防“AV终结者” 首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两个补丁。 其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始——运行,输入regedit32,找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,右击此选项,在弹出的菜单中选择“权限”,然后把administrors用户组和users用户组的权限全部取消即可。最后,要限制 SAFEBOOT的读写权,达到限制“AV终极者”修改或删除Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表里找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset001\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\,将administors用户组和users用户组的权限全部取消即可。 还有专杀工具 到http://www.dielang.com/av.html里去下编辑本段传播途径 “AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。编辑本段病毒特征 这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。编辑本段病毒现象 ·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 ·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。 ·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 ·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。 ·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。 ·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 ·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。 ·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。 ·9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。编辑本段防范措施 对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施: 1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。 2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。 3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。 4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。 5.关闭windows的自动播放功能。编辑本段病毒解决方案 方法一: 因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下: 1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。 2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件: 把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。 3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。 (注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。) 4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。 方法二: 去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。编辑本段手动清除办法 1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。 2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。 3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。 4.利用IceSword的注册表管理功能,展开注册表项到: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。 当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供编辑本段病毒分析 1.生成文件 %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll %windir%\{随机8位字母+数字名字}.hlp %windir%\Help\{随机8位字母+数字名字}.chm 也有可能生成如下文件 %sys32dir%\{随机字母}.exe 替换%sys32dir%\verclsid.exe文件 2.生成以下注册表项来达到使病毒随系统启动而启动的目的 HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\InprocServer32 "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks "生成的随机CLSID" "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004 3.映像劫持 通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。 被劫持的软件包括: 360rpt.exe; 360Safe.exe; 360tray.exe; adam.exe; AgentSvr.exe; AppSvc32.exe; autoruns.exe; avgrssvc.exe; AvMonitor.exe; avp.com; avp.exe; CCenter.exe; ccSvcHst.exe; FileDsty.exe; FTCleanerShell.exe; HijackThis.exe; IceSword.exe; iparmo.exe; Iparmor.exe; isPwdSvc.exe; kabaload.exe; KaScrScn.SCR; KASMain.exe; KASTask.exe; KAV32.exe; KAVDX.exe; KAVPFW.exe; KAVSetup.exe; KAVStart.exe; KISLnchr.exe; KMailMon.exe; KMFilter.exe; KPFW32.exe; KPFW32X.exe; KPFWSvc.exe; KRegEx.exe; KRepair.COM; KsLoader.exe; KVCenter.kxp; KvDetect.exe; KvfwMcl.exe; KVMonXP.kxp; KVMonXP_1.kxp; kvol.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe; ………… 4.修改以下注册表,导致无法显示隐藏文件 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced Hidden dword:00000002 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000 5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess Start dword:00000004 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ wuauserv Start dword:00000004 6.删除以下注册表项,使用户无法进入安全模式 HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ 7.连接网络下载病毒 hxxp://www.webxxx.com/xxx.exe 8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀 9.尝试关闭包含以下关键字窗口 Anti AgentSvr CCenter Rsaupd SmartUp FileDsty RegClean 360tray ………… ikaka duba kingsoft 木马 社区 aswBoot ………… 10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。 11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。 12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。编辑本段专杀工具 金山AV终结者专杀工具 http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
